Société : Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, Pays-Bas

Chambre de commerce (KvK) : 92122167

Site web : www.carsu.com

Dernière mise à jour : 14 mai 2026

1. Introduction

Les présentes Conditions générales (« Conditions ») régissent votre accès à la plateforme logicielle en tant que service (« SaaS ») exploitée par Carsu B.V. (« Carsu », « Société », « nous », « notre » ou « nos »), accessible à l’adresse https://www.carsu.com et via nos applications mobiles (« Plateforme »), ainsi que votre utilisation de celle-ci.

En créant un compte ou en utilisant notre Plateforme, vous acceptez d’être lié par les présentes Conditions, par notre Politique de confidentialité et de cookies (accessible à l’adresse https://www.carsu.com/fr/confidentialite) ainsi que par tout bon de commande ou contrat d’abonnement applicable. Si vous n’acceptez pas ces Conditions, n’utilisez pas nos services.

Les présentes Conditions s’appliquent à toute filiale, société affiliée ou société du groupe de Carsu B.V. qui fournit des services sous la marque Carsu.

2. Définitions

3. Services fournis

Carsu fournit une plateforme SaaS complète conçue pour le marché de la rechange automobile, comprenant :

• Gestion d’atelier : gestion de la relation client (CRM), planification, facturation et suivi de l’historique d’entretien.
• Services de communication : messagerie intégrée via WhatsApp Business, SMS et Viber, permettant aux Utilisateurs de communiquer avec leurs Consommateurs finaux.
• Informations sur les véhicules et les pièces : accès aux données sur les véhicules, aux catalogues de pièces et aux informations sur les procédures de réparation.
• Traitement des paiements : traitement des paiements intégré via Stripe.
• Intégrations tierces : synchronisation facultative des données de rendez-vous avec des services de calendrier externes (tels que Google Calendar), à votre choix, telle que décrite à la section 5.4.
• Assistance client : services d’assistance comprenant des fonctionnalités assistées par IA telles que la traduction automatique des messages.

4. Création de compte et sécurité

4.1 Création de compte

Pour accéder à la Plateforme, vous devez créer un Compte. Vous vous engagez à fournir des informations exactes, à jour et complètes lors de l’inscription et à les tenir à jour.

4.2 Sécurité du compte

Vous êtes responsable de la confidentialité de vos identifiants de connexion et de toutes les activités effectuées via votre Compte. Vous devez nous informer immédiatement à hello@carsu.com si vous prenez connaissance d’une utilisation non autorisée de votre Compte.

4.3 Conditions d’éligibilité du compte

La Plateforme est destinée à un usage professionnel (B2B). En vous inscrivant, vous déclarez être autorisé à agir pour le compte de l’entité commerciale que vous enregistrez et disposer de la capacité juridique pour conclure les présentes Conditions.

5. Utilisation de la Plateforme et des services de communication

5.1 Intégration de la messagerie

Notre Plateforme s’intègre à WhatsApp Business, à des passerelles SMS et à Viber. Les Utilisateurs doivent respecter les conditions et politiques respectives des tiers pour chaque canal de communication utilisé. Carsu n’est pas responsable des modifications apportées aux politiques ou à la disponibilité des plateformes tierces.

5.2 Tarifs de messagerie

Les tarifs d’envoi de messages sont variables et dépendent de la destination, du type de message et de votre niveau d’Abonnement. Les tarifs en vigueur sont disponibles dans la section Paramètres du tableau de bord de votre Compte. Carsu se réserve le droit d’ajuster les tarifs de messagerie moyennant un préavis de 14 jours, via le tableau de bord de votre Compte ou par e-mail.

5.3 Consentement et conformité

Carsu fournit des outils et des conseils pour aider les Utilisateurs à obtenir et à gérer le consentement aux communications avec les Consommateurs finaux, conformément à la directive ePrivacy et aux lois nationales applicables. Toutefois, en sa qualité de responsable du traitement des données des Consommateurs finaux, l’Utilisateur est en dernier ressort tenu de veiller à ce que :

• un consentement valide soit obtenu avant l’envoi de messages marketing ;
• les messages soient conformes aux lois applicables en matière d’anti-spam et de communications électroniques ;
• les demandes de désinscription des Consommateurs finaux soient honorées sans délai.

5.4 Intégrations tierces

La Plateforme propose des Intégrations tierces facultatives, dont la synchronisation avec Google Calendar.

• Autorisation. L’utilisation de toute Intégration tierce relève de votre seul choix et exige que vous autorisiez la connexion via le processus d’authentification du tiers (par ex. Google OAuth). Vous autorisez Carsu à accéder aux données du service connecté, à les transmettre et à les traiter strictement aux fins décrites dans notre Politique de confidentialité et de cookies.
• Portée. L’intégration de Google Calendar utilise la portée calendar.events.readonly. Carsu importe les événements de calendrier uniquement pour les afficher sur la page calendrier de Carsu ; Carsu n’écrit pas, ne modifie pas et ne supprime pas d’événements dans votre Google Calendar.
• Utilisation limitée. L’utilisation par Carsu des données reçues des API Google est conforme à la Politique relative aux données utilisateur des services d’API Google, y compris à ses exigences d’Utilisation limitée. Nous n’utilisons pas les données des API Google à des fins publicitaires, nous ne les vendons pas et ne les utilisons pas pour entraîner des modèles d’IA ou d’apprentissage automatique. Voir le §5a de la Politique de confidentialité et de cookies pour la déclaration complète.
• Révocation. Vous pouvez révoquer l’autorisation à tout moment depuis les paramètres de votre Compte Carsu ou directement via les contrôles du compte du fournisseur tiers (pour Google : myaccount.google.com/permissions). Carsu cessera immédiatement tout accès et supprimera les données mises en cache conformément au calendrier de conservation figurant dans la Politique de confidentialité et de cookies.
• Conditions des tiers. Votre utilisation de toute Intégration tierce est également soumise aux conditions et politiques du fournisseur tiers. Carsu n’est pas responsable des modifications, de la suspension ou de la cessation des API tierces, ni des coûts ou limitations imposés par le fournisseur tiers.
• Aucune responsabilité pour les défaillances de tiers. Les pannes, erreurs, latences ou indisponibilités de données causées par le fournisseur tiers sont exclues des obligations de niveau de service de Carsu prévues à la section 8.

6. Crédits prépayés et utilisation

6.1 Modèle de crédits prépayés

Carsu fonctionne sur la base de crédits prépayés pour les services de communication. Les Crédits doivent être achetés à l’avance pour utiliser les fonctionnalités de messagerie.

6.2 Expiration des crédits — Formule gratuite

Pour les Utilisateurs de la Formule gratuite, les Crédits achetés sont valables douze (12) mois à compter de la date d’achat. Les Crédits non utilisés expirent automatiquement à l’issue de cette période, sans remboursement.

6.3 Validité des crédits — Formules payantes

Pour les Utilisateurs de la Formule Basique ou de tout autre Abonnement payant, les Crédits achetés n’expirent pas tant que l’Abonnement reste actif et en règle. Si un Abonnement payant prend fin (pour quelque raison que ce soit), les Crédits restants sont soumis à la règle d’expiration de 12 mois à compter de la date de fin de l’Abonnement.

6.4 Crédits d’essai

Carsu peut fournir aux nouveaux Utilisateurs des Crédits d’essai gratuits à des fins de test. Les Crédits d’essai :

• expirent automatiquement trois (3) mois après leur attribution ;
• peuvent être révoqués à tout moment si nous soupçonnons un usage abusif ou une violation de notre Politique d’utilisation acceptable (section 11) ;
• n’ont aucune valeur monétaire et sont incessibles.

7. Frais, paiement et facturation

7.1 Tarification

La tarification en vigueur des Crédits et des niveaux d’Abonnement est disponible sur notre Site web et dans les Paramètres de votre Compte. Tous les frais s’entendent hors taxes applicables, sauf indication contraire.

7.2 Traitement des paiements

Les paiements sont traités via Stripe. En effectuant un achat, vous acceptez les conditions d’utilisation de Stripe. Carsu ne conserve pas les données de votre carte de crédit.

7.3 Facturation et TVA

Les factures sont émises au moment de l’achat de Crédits ou du paiement de l’Abonnement.

• Clients néerlandais (B2B) : la TVA néerlandaise de 21 % s’applique.
• Clients de l’UE hors Pays-Bas (B2B) : le mécanisme d’autoliquidation de la TVA s’applique. Les factures comportent la mention « TVA autoliquidée ». Vous devez fournir un numéro de TVA intracommunautaire valide.
• Clients du Royaume-Uni (B2B) : taux de TVA nul lorsqu’un numéro de TVA britannique valide est fourni.
• Clients hors UE / Royaume-Uni : aucune TVA facturée ; les obligations fiscales locales relèvent de la responsabilité du client.

7.4 Modifications tarifaires

Carsu peut ajuster la tarification des Abonnements ou les tarifs des Crédits moyennant un préavis écrit d’au moins 30 jours par e-mail. La poursuite de l’utilisation après la date d’entrée en vigueur vaut acceptation. Si vous n’acceptez pas une modification tarifaire, vous pouvez résilier votre Abonnement avant l’entrée en vigueur de la nouvelle tarification.

7.5 Politique de remboursement

Tous les achats de Crédits et les frais d’Abonnement sont non remboursables, sauf lorsque Carsu a manqué de manière substantielle à ses obligations de service au titre des présentes Conditions ou lorsque la loi applicable l’exige.

8. Niveaux de service

8.1 Disponibilité de la Plateforme

Carsu mettra en œuvre des efforts commercialement raisonnables pour maintenir une disponibilité de la Plateforme d’au moins 99,5 % par mois civil, mesurée hors fenêtres de maintenance planifiée.

8.2 Maintenance planifiée

Nous fournirons un préavis d’au moins 48 heures pour toute maintenance planifiée susceptible d’affecter la disponibilité, sauf en cas de correctifs de sécurité urgents pour lesquels un préavis plus court peut être nécessaire.

8.3 Recours

Si la disponibilité de la Plateforme tombe en dessous de 99,5 % au cours d’un mois civil (hors maintenance planifiée et cas de Force majeure), les Utilisateurs concernés disposant d’un Abonnement payant peuvent demander un avoir de service au prorata pour la période concernée. Les avoirs de service sont imputés sur les factures futures et ne constituent pas un remboursement en numéraire. Les réclamations doivent être soumises dans les 30 jours suivant le mois concerné.

8.4 Dépendances vis-à-vis des tiers

Nos services de communication et nos Intégrations tierces dépendent de plateformes tierces (WhatsApp, Viber, passerelles SMS, API Google, etc.). Carsu n’est pas responsable des pannes ou limitations imposées par ces fournisseurs tiers. Les interruptions de service des tiers sont exclues du calcul des SLA.

9. Protection des données

9.1 Politique de confidentialité et de cookies

Carsu traite les données personnelles conformément à notre Politique de confidentialité et de cookies, disponible à l’adresse https://www.carsu.com/fr/confidentialite. En utilisant la Plateforme, vous reconnaissez avoir lu et compris notre Politique de confidentialité et de cookies.

9.2 Accord de traitement des données

Lorsque Carsu traite des données personnelles pour votre compte (c’est-à-dire les données des Consommateurs finaux), Carsu agit en qualité de sous-traitant et vous agissez en qualité de responsable du traitement. L’accord de traitement des données (« DPA ») figurant à l’Annexe A des présentes Conditions, ou conclu séparément, régit cette relation de traitement conformément à l’article 28 du RGPD.

9.3 Vos obligations en tant que responsable du traitement

En tant que responsable du traitement des données des Consommateurs finaux traitées via notre Plateforme, vous êtes tenu :

• de vous assurer que vous disposez d’une base juridique valide pour le traitement des données des Consommateurs finaux ;
• d’obtenir les consentements requis pour les communications électroniques (conformité à la directive ePrivacy) ;
• de répondre aux demandes d’exercice de droits émanant de vos Consommateurs finaux (Carsu vous prêtera assistance sur demande) ;
• d’informer Carsu sans délai de toute demande de personne concernée nécessitant l’assistance de Carsu ;
• de tenir votre propre politique de confidentialité couvrant votre utilisation de notre Plateforme pour le traitement des données des Consommateurs finaux.

9.4 Portabilité des données et droits de changement de prestataire

Conformément à l’article 20 du RGPD et au règlement européen sur les données (règlement (UE) 2023/2854), vous disposez d’un droit à la portabilité des données et au changement de prestataire :

• Export en libre-service : vous pouvez exporter vos données à tout moment depuis les Paramètres de votre Compte, au format CSV ou JSON.
• Demande d’export manuel : vous pouvez également demander un export complet de vos données en écrivant à legal@carsu.com. Les demandes d’export seront satisfaites dans un délai de 30 jours.
• Export après résiliation : vous pouvez demander l’export de vos données dans les 12 mois suivant la résiliation de votre Abonnement.
• Suppression des données : les données seront définitivement supprimées dans les 60 jours suivant la fenêtre d’export de 12 mois postérieure à la résiliation, sauf si une durée de conservation plus longue est exigée par la loi.
• Assistance au changement de prestataire : en vertu du règlement européen sur les données, si vous souhaitez changer pour un autre prestataire de services, Carsu fournira une assistance technique raisonnable pendant une période de 30 jours après le lancement de la procédure de changement. Les éventuels frais de changement n’excéderont pas le coût directement supporté par Carsu pour fournir cette assistance.

Carsu n’imposera aucune barrière contractuelle, technique ou commerciale entravant le changement de prestataire ou la portabilité des données au-delà de ce qui est strictement nécessaire à des fins de sécurité et d’intégrité des données.

9.5 Données issues des Intégrations tierces

Lorsque vous autorisez Carsu à accéder à des données provenant d’un service tiers (par ex. Google Calendar), Carsu agit en qualité de responsable du traitement de ces données, sur les bases juridiques du consentement (art. 6, §1, point a, du RGPD) et du contrat (art. 6, §1, point b, du RGPD), et les traite strictement conformément à la Politique de confidentialité et de cookies et aux conditions d’API du fournisseur tiers. Vous conservez la propriété de l’ensemble de ces données. L’accord de traitement des données figurant à l’Annexe A ne s’applique pas aux données obtenues à partir d’Intégrations tierces que vous autorisez pour votre propre usage, car ces données ne sont pas des données de Consommateurs finaux traitées par Carsu pour votre compte.

10. Propriété intellectuelle

10.1 Propriété intellectuelle de Carsu

L’ensemble des contenus, logiciels, technologies, conceptions, marques et supports présents sur notre Plateforme sont la propriété de Carsu B.V. ou de ses concédants de licence et sont protégés par les lois sur la propriété intellectuelle. Une licence limitée, non exclusive, incessible et révocable vous est concédée pour utiliser la Plateforme aux fins prévues pendant la durée de votre Abonnement.

10.2 Vos données et les analyses agrégées

Vous conservez tous les droits sur les données que vous téléversez sur la Plateforme. En téléversant des données, vous concédez à Carsu une licence limitée pour traiter ces données aux seules fins de la fourniture des Services.

Carsu peut utiliser et partager des données anonymisées et agrégées (ne permettant pas de vous identifier, vous, vos Consommateurs finaux ou des transactions individuelles) à des fins d’amélioration du service, d’analyses sectorielles, d’informations sur le marché, de recherche et d’innovation. Ces données sont agrégées à un niveau garantissant qu’aucun atelier, consommateur final ou transaction individuels ne puisse être identifié.

Étant donné que les données sont irréversiblement anonymisées avant toute utilisation ou tout partage externes, elles sortent du champ d’application du RGPD (considérant 26). Les destinataires d’informations agrégées sont liés par des conditions écrites interdisant la ré-identification. Pour plus de détails, voir la section 7.5 de notre Politique de confidentialité et de cookies.

Les données obtenues à partir des API Google sont exclues de cette utilisation à des fins d’analyses agrégées, conformément aux engagements d’Utilisation limitée décrits dans la Politique de confidentialité et de cookies (§5a).

11. Politique d’utilisation acceptable

Vous vous engagez à ne pas utiliser la Plateforme pour :

• envoyer des messages marketing non sollicités (spam) ou des messages sans le consentement valide du destinataire ;
• transmettre des contenus illicites, diffamatoires, menaçants, harcelants ou discriminatoires ;
• diffuser des logiciels malveillants, des virus ou tout autre code nuisible ;
• tenter d’obtenir un accès non autorisé à la Plateforme, à d’autres comptes ou à des systèmes connectés ;
• procéder à de l’ingénierie inverse, décompiler ou désassembler une quelconque partie de la Plateforme ;
• utiliser la Plateforme à toute fin contraire à la loi applicable, y compris la réglementation en matière de protection des données et d’anti-spam ;
• usurper l’identité d’une personne ou d’une entité, ou présenter de manière inexacte votre affiliation ;
• contourner les limites d’utilisation, la limitation de débit ou d’autres restrictions techniques.

Carsu se réserve le droit de suspendre ou de résilier l’accès des Utilisateurs qui enfreignent la présente Politique d’utilisation acceptable, conformément à la section 13.

12. Indemnisation

Vous vous engagez à indemniser et à dégager de toute responsabilité Carsu, ses dirigeants, administrateurs, employés et agents au titre de toute réclamation, dommage, perte, responsabilité et frais (y compris les frais juridiques raisonnables) découlant de :

• votre violation des présentes Conditions ou de la Politique d’utilisation acceptable ;
• votre utilisation de la Plateforme en violation de la loi applicable ;
• des messages envoyés via la Plateforme pour votre compte, y compris les réclamations de Consommateurs finaux ou de tiers relatives au consentement, au contenu ou à la conformité ;
• toute réclamation selon laquelle les données que vous avez fournies portent atteinte aux droits de propriété intellectuelle ou à la vie privée de tiers.

13. Durée, suspension et résiliation

13.1 Durée

Votre Abonnement commence à la Date d’entrée en vigueur et se poursuit pendant la durée convenue (mensuelle ou annuelle, selon le cas), avec renouvellement automatique sauf résiliation avant la fin de la période en cours.

13.2 Résiliation par vous

Vous pouvez résilier votre Abonnement à tout moment depuis les paramètres de votre Compte. La résiliation prend effet à la fin de la période de facturation en cours. Aucun remboursement au prorata n’est accordé pour les portions non utilisées d’une période de facturation.

13.2a Changement de prestataire (règlement européen sur les données)

Conformément au règlement européen sur les données, vous pouvez résilier votre Abonnement en vue de changer pour un autre prestataire de services moyennant un préavis écrit d’au moins 2 mois adressé à legal@carsu.com. Pendant la période de préavis et durant les 30 jours suivant la résiliation, Carsu fournira une assistance technique raisonnable pour faciliter la transition, y compris l’export des données dans des formats standard (CSV, JSON) et la documentation des structures de données. Les éventuels frais de changement seront limités aux coûts directement supportés et communiqués à l’avance.

13.3 Suspension par Carsu

Carsu peut suspendre votre accès à la Plateforme immédiatement si :

• nous avons des motifs raisonnables de croire que vous enfreignez la Politique d’utilisation acceptable ;
• votre Compte est impliqué dans une activité frauduleuse présumée ;
• cela est nécessaire pour se conformer à une obligation légale ou à une décision de justice ;
• votre paiement est en retard de plus de 14 jours.

Nous vous informerons de toute suspension et de son motif dès que cela sera raisonnablement possible. La suspension ne met pas fin aux présentes Conditions ; nous rétablirons l’accès une fois le problème résolu.

13.4 Résiliation pour faute par Carsu

Carsu peut résilier votre Compte et les présentes Conditions si :

• une violation substantielle demeure non corrigée pendant 30 jours après une mise en demeure écrite ;
• vous commettez des violations répétées de la Politique d’utilisation acceptable ;
• vous devenez insolvable ou faites l’objet d’une procédure de faillite.

13.5 Après la résiliation

À la résiliation :

• tous les Crédits d’essai non utilisés sont perdus immédiatement ;
• les Crédits achetés pour les formules payantes sont soumis aux règles d’expiration de la section 6 ;
• vous pouvez demander l’export de vos données dans les 12 mois suivant la résiliation (voir la section 9.4) ;
• à l’issue de la période de 12 mois postérieure à la résiliation, l’ensemble de vos données sera définitivement supprimé, sauf lorsque la loi impose une conservation ;
• les données obtenues à partir d’Intégrations tierces (y compris Google Calendar) sont supprimées dans les 30 jours suivant la résiliation ou une déconnexion antérieure, conformément au calendrier de conservation de la Politique de confidentialité et de cookies.

14. Limitation de responsabilité

14.1 Exclusion des dommages indirects

Dans toute la mesure permise par la loi applicable, aucune des parties ne saurait être tenue responsable de dommages indirects, accessoires, spéciaux, consécutifs ou punitifs, y compris, sans s’y limiter, la perte de bénéfices, de données, d’activité ou de clientèle, quel que soit le fondement de l’action ou la théorie de la responsabilité.

14.2 Plafond de responsabilité

La responsabilité globale totale de Carsu au titre ou en lien avec les présentes Conditions ne saurait excéder le montant total des frais que vous avez versés à Carsu au cours des douze (12) mois précédant immédiatement l’événement à l’origine de la réclamation.

14.3 Exceptions

Aucune disposition des présentes Conditions n’exclut ni ne limite la responsabilité en cas de :

• décès ou dommage corporel causé par une négligence ;
• fraude ou manœuvre frauduleuse ;
• toute responsabilité qui ne peut être exclue ou limitée en vertu de la loi applicable, y compris les obligations découlant du RGPD.

15. Force majeure

Aucune des parties ne saurait être tenue responsable d’un manquement ou d’un retard dans l’exécution de ses obligations au titre des présentes Conditions lorsque ce manquement ou ce retard résulte d’événements échappant à son contrôle raisonnable, y compris, sans s’y limiter : catastrophes naturelles, pandémies, actes des autorités publiques, guerre, terrorisme, pannes de courant, interruptions d’internet, défaillances de plateformes tierces (WhatsApp, Viber, passerelles SMS, Stripe, API Google) et cyberattaques.

La partie affectée doit en informer l’autre partie sans délai et déployer des efforts raisonnables pour atténuer l’impact. Si un cas de Force majeure se prolonge pendant plus de 60 jours, l’une ou l’autre des parties peut résilier les Services affectés moyennant un préavis écrit.

16. Garanties et exclusions de garantie

16.1 Garanties de Carsu

Carsu garantit que :

• la Plateforme fonctionnera pour l’essentiel conformément à sa documentation ;
• les Services seront fournis avec un soin et une compétence raisonnables ;
• Carsu se conformera à la loi applicable en matière de protection des données dans son rôle de responsable du traitement ou de sous-traitant.

16.2 Sécurité et divulgation des vulnérabilités

Carsu maintient une politique de divulgation responsable des vulnérabilités conforme au règlement sur la cyberrésilience (Cyber Resilience Act) et aux meilleures pratiques du secteur. Les chercheurs en sécurité et les Utilisateurs peuvent signaler des vulnérabilités via notre fichier security.txt à l’adresse https://www.carsu.com/.well-known/security.txt ou en écrivant à security@carsu.com. Carsu s’engage à accuser réception des signalements dans un délai de 5 jours ouvrés et à fournir un calendrier de résolution dans un délai de 30 jours.

16.3 Exclusion de garantie

Sauf disposition expresse des présentes Conditions, la Plateforme est fournie « en l’état » et « selon disponibilité ». Carsu n’offre aucune autre garantie, expresse ou implicite, y compris les garanties de qualité marchande, d’adéquation à un usage particulier ou d’absence de contrefaçon. Carsu ne garantit pas que la Plateforme sera ininterrompue, exempte d’erreurs, ni que tous les défauts seront corrigés.

17. Droit applicable et règlement des litiges

17.1 Droit applicable

Les présentes Conditions sont régies et interprétées conformément au droit des Pays-Bas, sans égard aux principes de conflit de lois.

17.2 Règlement des litiges

Les parties tenteront d’abord de résoudre tout litige par une négociation de bonne foi pendant une période de 30 jours. À défaut de résolution, les litiges seront soumis à la compétence exclusive des tribunaux compétents d’Amsterdam, aux Pays-Bas.

17.3 Réclamations auprès des autorités

Aucune disposition des présentes Conditions ne vous empêche d’exercer vos droits au titre du RGPD ni de déposer une réclamation auprès de l’autorité de contrôle compétente (voir notre Politique de confidentialité et de cookies pour plus de détails).

18. Dispositions générales

18.1 Intégralité de l’accord

Les présentes Conditions, conjointement avec la Politique de confidentialité et de cookies et tout bon de commande ou DPA applicable, constituent l’intégralité de l’accord entre vous et Carsu concernant l’utilisation de la Plateforme. Elles remplacent tous les accords, déclarations et ententes antérieurs.

18.2 Divisibilité

Si une disposition des présentes Conditions est jugée invalide ou inapplicable, les dispositions restantes demeureront pleinement en vigueur. La disposition invalide sera modifiée dans la mesure minimale nécessaire pour la rendre valide et applicable.

18.3 Cession

Vous ne pouvez pas céder ni transférer les présentes Conditions sans le consentement écrit préalable de Carsu. Carsu peut céder les présentes Conditions dans le cadre d’une fusion, d’une acquisition, d’une réorganisation ou de la cession de la quasi-totalité de ses actifs, à condition que le cessionnaire accepte d’être lié par les présentes Conditions.

18.4 Renonciation

Aucun manquement ni retard de l’une ou l’autre des parties dans l’exercice d’un droit au titre des présentes Conditions ne saurait constituer une renonciation à ce droit.

18.5 Notifications

Les notifications à Carsu doivent être adressées à legal@carsu.com ou par courrier à notre adresse enregistrée. Les notifications qui vous sont destinées seront envoyées à l’adresse e-mail associée à votre Compte. Les notifications sont réputées reçues à la remise (e-mail) ou 5 jours ouvrés après l’envoi (courrier).

18.6 Modifications

Carsu peut modifier les présentes Conditions moyennant un préavis écrit d’au moins 30 jours par e-mail ou par notification sur la Plateforme. Les modifications substantielles seront mises en évidence. La poursuite de l’utilisation après la date d’entrée en vigueur vaut acceptation. Si vous n’acceptez pas une modification, vous pouvez résilier votre Abonnement avant son entrée en vigueur.

19. Nous contacter

Questions juridiques : legal@carsu.com

Questions générales : hello@carsu.com

Délégué à la protection des données : privacy@carsu.com

Questions de sécurité : security@carsu.com

Adresse postale : Carsu B.V., Harderwijkerweg 145, 3852 AB Ermelo, Pays-Bas

En utilisant notre Plateforme, vous reconnaissez avoir lu, compris et accepté d’être lié par les présentes Conditions générales.

ANNEXE A

ACCORD DE TRAITEMENT DES DONNÉES

Le présent accord de traitement des données (« DPA ») fait partie intégrante des Conditions générales de Carsu (« Contrat ») conclues entre Carsu B.V. (« Sous-traitant ») et l’Utilisateur (« Responsable du traitement »), et régit le traitement des données personnelles par le Sous-traitant pour le compte du Responsable du traitement dans le cadre des Services.

Le présent DPA est conclu en application de l’article 28 du Règlement général sur la protection des données (UE) 2016/679 (« RGPD ») et, le cas échéant, du Règlement général britannique sur la protection des données (« RGPD britannique »).

A1. Définitions

Les termes non définis dans le présent DPA ont le sens qui leur est donné dans le Contrat et dans le RGPD. Dans le présent DPA :

• « Données personnelles du Responsable du traitement » désigne les données personnelles que le Sous-traitant traite pour le compte du Responsable du traitement dans le cadre des Services.
• « Lois sur la protection des données » désigne le RGPD, le RGPD britannique, la directive ePrivacy 2002/58/CE, le Codice Privacy italien (D.Lgs. 196/2003 tel que modifié), la loi néerlandaise UAVG et toute autre législation applicable en matière de protection des données.
• « Sous-traitant ultérieur » désigne tout tiers mandaté par le Sous-traitant pour traiter les Données personnelles du Responsable du traitement pour le compte de ce dernier.

A2. Portée et finalité du traitement

A2.1 Objet

Le Sous-traitant traite les Données personnelles du Responsable du traitement aux seules fins de fournir les Services au titre du Contrat, y compris la gestion d’atelier, les communications client (WhatsApp, SMS, Viber), le traitement des paiements et l’assistance client.

Exclusion — données d’Intégration tierce. Les données que le Responsable du traitement autorise Carsu à consulter depuis un service tiers pour son propre usage (par ex. les événements Google Calendar du personnel du Responsable du traitement) ne constituent pas des Données personnelles du Responsable du traitement au sens du présent DPA. Ces données sont traitées par Carsu en qualité de responsable du traitement au titre du Contrat (section 9.5) et de la Politique de confidentialité et de cookies.

A2.2 Durée

Le traitement se poursuit pendant toute la durée du Contrat et pour toute période supplémentaire nécessaire à l’exécution des obligations postérieures à la résiliation (export et suppression des données) telles qu’énoncées dans le Contrat.

A2.3 Catégories de personnes concernées

• les Consommateurs finaux (clients du Responsable du traitement / de l’atelier) ;
• les employés et le personnel du Responsable du traitement (lorsque cela est pertinent pour l’utilisation de la plateforme).

A2.4 Types de données personnelles

• coordonnées (noms, numéros de téléphone, adresses e-mail) ;
• données relatives aux véhicules (plaques d’immatriculation, marque, modèle, type) ;
• dossiers d’entretien et de maintenance ;
• données de rendez-vous ;
• contenu des communications (messages envoyés via la Plateforme) ;
• identifiants de transactions de paiement (les données de carte sont traitées par Stripe et ne sont pas conservées par Carsu).

A2.5 Nature du traitement

Collecte, conservation, extraction, utilisation, transmission (messagerie), organisation, structuration et effacement des Données personnelles du Responsable du traitement, dans la mesure nécessaire à la fourniture des Services.

A2.6 Données anonymisées et agrégées

Le Sous-traitant peut traiter les Données personnelles du Responsable du traitement afin de générer des informations anonymisées et agrégées destinées à être partagées avec des tiers. Ce traitement n’a lieu qu’après que les données ont été irréversiblement anonymisées et agrégées à un niveau garantissant qu’aucun atelier, consommateur final ou transaction individuels ne puisse être identifié ou reconstitué par ingénierie inverse à partir du résultat.

Une fois irréversiblement anonymisées, les données obtenues sortent du champ d’application du RGPD (considérant 26) et du présent DPA. Ce traitement repose sur l’intérêt légitime du Sous-traitant (art. 6, §1, point f) et n’étend ni ne modifie les finalités de fourniture du service énumérées au point A2.1, mais constitue un usage distinct des données sous-jacentes après anonymisation. Les destinataires sont liés par des conditions écrites interdisant la ré-identification.

A3. Obligations du Sous-traitant

Le Sous-traitant doit :

• traiter les Données personnelles du Responsable du traitement uniquement sur instructions documentées de ce dernier, y compris en ce qui concerne les transferts de données personnelles en dehors de l’EEE ou du Royaume-Uni, à moins que le droit de l’UE ou d’un État membre ne l’y oblige (auquel cas le Sous-traitant en informe le Responsable du traitement avant le traitement, sauf si ce droit l’interdit) ;
• veiller à ce que les personnes autorisées à traiter les Données personnelles du Responsable du traitement se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
• mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris, le cas échéant : la pseudonymisation et le chiffrement des données personnelles, la capacité de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes de traitement, la capacité de rétablir l’accès aux données personnelles dans des délais appropriés à la suite d’un incident, et une procédure de test et d’évaluation réguliers de l’efficacité de ces mesures ;
• respecter les conditions de recours à des Sous-traitants ultérieurs énoncées à la section A5 ;
• compte tenu de la nature du traitement, aider le Responsable du traitement, par des mesures techniques et organisationnelles appropriées et dans la mesure du possible, à s’acquitter de son obligation de répondre aux demandes des personnes concernées ;
• aider le Responsable du traitement à garantir le respect des obligations de notification des violations de données (articles 33 et 34 du RGPD), des analyses d’impact relatives à la protection des données (article 35 du RGPD) et de la consultation préalable des autorités de contrôle (article 36 du RGPD), compte tenu de la nature du traitement et des informations à la disposition du Sous-traitant ;
• au choix du Responsable du traitement, supprimer ou renvoyer toutes les Données personnelles du Responsable du traitement à ce dernier au terme de la fourniture des Services, et supprimer les copies existantes, à moins que le droit de l’UE ou d’un État membre n’exige la conservation des données personnelles ;
• mettre à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect du présent DPA et permettre la réalisation d’audits, y compris des inspections, menés par le Responsable du traitement ou un auditeur qu’il a mandaté, et y contribuer.

A4. Obligations du Responsable du traitement

Le Responsable du traitement doit :

• s’assurer qu’il dispose d’une base juridique valide au titre des Lois sur la protection des données pour le traitement des Données personnelles du Responsable du traitement, y compris l’obtention de tous les consentements nécessaires des personnes concernées lorsque cela est requis ;
• fournir au Sous-traitant des instructions de traitement documentées ;
• être responsable de l’exactitude, de la qualité et de la licéité des Données personnelles du Responsable du traitement fournies au Sous-traitant ;
• respecter ses obligations au titre des Lois sur la protection des données, y compris la tenue de sa propre politique de confidentialité, la réponse aux demandes des personnes concernées (avec l’assistance du Sous-traitant) et la notification des violations de données aux autorités de contrôle lorsque cela est requis ;
• veiller à ce que les messages envoyés aux Consommateurs finaux via la Plateforme soient conformes à la directive ePrivacy et aux lois nationales applicables en matière de communications électroniques, y compris l’obtention d’un consentement valide pour les messages marketing.

A5. Sous-traitants ultérieurs

A5.1 Autorisation générale

Le Responsable du traitement accorde au Sous-traitant une autorisation écrite générale de recourir à des Sous-traitants ultérieurs pour le traitement des Données personnelles du Responsable du traitement, sous réserve des conditions énoncées dans la présente section A5.

A5.2 Sous-traitants ultérieurs actuels

La liste actuelle des Sous-traitants ultérieurs figure à la section 7.1 de la Politique de confidentialité et de cookies (disponible à l’adresse https://www.carsu.com/fr/confidentialite). À la date du présent DPA, les Sous-traitants ultérieurs approuvés sont les suivants :

A5.3 Modification des Sous-traitants ultérieurs

Le Sous-traitant notifie le Responsable du traitement par e-mail ou par notification sur la Plateforme au moins 30 jours avant de recourir à un nouveau Sous-traitant ultérieur ou d’en remplacer un existant. Les Responsables du traitement disposant d’un Abonnement payant peuvent s’abonner aux notifications automatiques de changement de sous-traitant ultérieur via les paramètres de leur Compte.

La notification comprend l’identité et la localisation du Sous-traitant ultérieur proposé, la nature du traitement et les catégories de données personnelles concernées. Le Responsable du traitement peut s’opposer au changement dans les 14 jours suivant la réception de la notification, en exposant des motifs écrits fondés sur la protection des données. Si le Responsable du traitement s’oppose et que les parties ne parviennent pas à résoudre l’objection dans les 30 jours par une discussion de bonne foi, le Responsable du traitement peut résilier les Services affectés sans pénalité.

A5.4 Obligations des Sous-traitants ultérieurs

Le Sous-traitant veille à ce que chaque Sous-traitant ultérieur soit lié par des obligations de protection des données au moins aussi contraignantes que celles énoncées dans le présent DPA, y compris, en particulier, l’apport de garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées. Le Sous-traitant demeure pleinement responsable envers le Responsable du traitement de l’exécution des obligations de chaque Sous-traitant ultérieur.

A6. Transferts internationaux

Le Sous-traitant ne transfère pas les Données personnelles du Responsable du traitement en dehors de l’EEE ou du Royaume-Uni, sauf si :

• le transfert est destiné à un pays reconnu par la Commission européenne ou par le secrétaire d’État britannique (selon le cas) comme offrant un niveau adéquat de protection des données ; ou
• des garanties appropriées sont en place, y compris les clauses contractuelles types (CCT) adoptées par la Commission européenne (décision 2021/914) ou, pour les transferts vers le Royaume-Uni, l’accord international de transfert de données (IDTA) britannique ou l’addendum britannique aux CCT de l’UE, complétés par des mesures techniques additionnelles lorsque cela est requis par une évaluation d’impact des transferts.

Lorsque des transferts sont effectués vers les États-Unis, le Sous-traitant s’appuie sur les CCT (ou sur l’IDTA britannique le cas échéant), complétées par des mesures techniques comprenant le chiffrement en transit (TLS 1.2+) et au repos (AES-256), des contrôles d’accès et des restrictions contractuelles relatives aux demandes d’accès des autorités publiques. Le Sous-traitant réalise et tient à jour une évaluation d’impact des transferts pour chaque transfert vers un pays non couvert par une décision d’adéquation, et met cette évaluation à la disposition du Responsable du traitement sur demande.

A7. Sécurité des données

Sans préjudice de la section A3, le Sous-traitant met en œuvre et maintient les mesures de sécurité minimales suivantes :

• chiffrement des données personnelles en transit (TLS 1.2 ou supérieur) et au repos (AES-256) ;
• contrôles d’accès basés sur les rôles selon le principe du moindre privilège ;
• authentification multifacteur pour tous les accès administrateur et plateforme ;
• évaluations régulières des vulnérabilités et tests d’intrusion ;
• journalisation et surveillance des accès aux Données personnelles du Responsable du traitement ;
• procédures de réponse aux incidents assorties de circuits d’escalade définis ;
• formation du personnel à la protection des données et à la sécurité de l’information, dispensée au moins une fois par an ;
• procédures de continuité d’activité et de reprise après sinistre.

A8. Notification des violations de données

Le Sous-traitant notifie le Responsable du traitement sans retard injustifié (et en tout état de cause dans les 72 heures, conformément à l’article 33 du RGPD) dès qu’il a connaissance d’une violation de données personnelles affectant les Données personnelles du Responsable du traitement. Cette notification comprend :

• une description de la nature de la violation, y compris, dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements concernés ;
• le nom et les coordonnées du Délégué à la protection des données du Sous-traitant ou d’un autre point de contact ;
• une description des conséquences probables de la violation ;
• une description des mesures prises ou qu’il est proposé de prendre pour remédier à la violation, y compris les mesures visant à en atténuer les éventuels effets négatifs.

Le Sous-traitant coopère avec le Responsable du traitement et prend des mesures commerciales raisonnables pour l’aider dans l’enquête, l’atténuation et la correction de chacune de ces violations.

A9. Droits des personnes concernées

Le Sous-traitant notifie sans délai le Responsable du traitement (et en tout état de cause dans les 5 jours ouvrés) s’il reçoit d’une personne concernée une demande d’exercice de l’un de ses droits au titre des Lois sur la protection des données relatifs aux Données personnelles du Responsable du traitement. Le Sous-traitant ne répond pas directement à la personne concernée, sauf s’il y est autorisé par le Responsable du traitement ou si la loi l’exige.

Le Sous-traitant apporte une assistance raisonnable au Responsable du traitement pour l’exécution de ses obligations de réponse aux demandes des personnes concernées, compte tenu de la nature du traitement et des informations à la disposition du Sous-traitant.

A10. Droits d’audit

Le Sous-traitant met à la disposition du Responsable du traitement, sur demande raisonnable (et au plus une fois par an civil, sauf exigence d’une autorité de contrôle ou survenance d’une violation de données), toutes les informations raisonnablement nécessaires pour démontrer le respect du présent DPA.

Le Sous-traitant permet la réalisation d’audits, y compris des inspections, menés par le Responsable du traitement ou un auditeur indépendant qu’il a mandaté, et y contribue, sous réserve :

• d’un préavis écrit d’au moins 30 jours (sauf exigence d’une autorité de contrôle) ;
• d’une portée et d’une durée raisonnables ;
• d’obligations de confidentialité relatives aux informations propriétaires du Sous-traitant ;
• du respect par l’auditeur des politiques de sécurité applicables.

Si un audit révèle une déficience substantielle, le Sous-traitant y remédie dans un délai raisonnable convenu avec le Responsable du traitement, à ses propres frais.

A11. Suppression et restitution des données

À la résiliation ou à l’expiration du Contrat, le Sous-traitant doit, au choix du Responsable du traitement :

• restituer toutes les Données personnelles du Responsable du traitement dans un format structuré, couramment utilisé et lisible par machine (CSV ou JSON) dans les 30 jours suivant la demande ; ou
• supprimer de manière sécurisée toutes les Données personnelles du Responsable du traitement dans les 60 jours suivant la fin de la fenêtre d’export de données de 12 mois postérieure à la résiliation prévue par le Contrat.

Le Sous-traitant certifie par écrit la suppression à la demande du Responsable du traitement. Le Sous-traitant ne peut conserver les Données personnelles du Responsable du traitement que dans la mesure requise par la loi applicable, et informe le Responsable du traitement de toute obligation de conservation de ce type, y compris la base juridique et la durée de conservation requise.

A12. Responsabilité

La responsabilité de chaque partie au titre du présent DPA est soumise aux limitations de responsabilité énoncées dans le Contrat (section 14). Aucune disposition du présent DPA n’exclut ni ne limite la responsabilité de l’une ou l’autre des parties pour les obligations découlant des Lois sur la protection des données qui ne peuvent être limitées par contrat.

A13. Droit applicable

Le présent DPA est régi par le droit des Pays-Bas, en cohérence avec le Contrat. Pour les questions relatives aux Lois sur la protection des données, l’autorité de contrôle de l’établissement du Responsable du traitement (ou, lorsque le Responsable du traitement est établi en dehors de l’EEE, l’Autoriteit Persoonsgegevens néerlandaise) est compétente.

A14. Préséance

En cas de conflit entre le présent DPA et le Contrat, les dispositions du présent DPA prévalent en ce qui concerne le traitement des Données personnelles du Responsable du traitement. Pour tous les autres aspects, le Contrat prévaut.

Le présent DPA prend effet à la date à laquelle le Responsable du traitement accepte le Contrat et demeure en vigueur tant que le Sous-traitant traite des Données personnelles du Responsable du traitement.